系统要求

等待 Citrix 预配 Endpoint Management 时,请务必通过安装 Cloud Connector 来为您的 Endpoint Management 部署做好准备。虽然 Citrix 托管和交付您的 Endpoint Management 解决方案,但是仍需要某些通信和端口设置。该设置将 Endpoint Management 体系结构连接到企业服务,例如 Active Directory。

Cloud Connector 要求

Citrix 使用 Cloud Connector 将 Endpoint Management 体系结构集成到您的现有体系结构中。Cloud Connector 通过端口 443 将以下资源位置安全地集成到 Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询以及 Citrix Workspace 枚举。

  • 至少两台加入到您的 Active Directory 域的专用 Windows Server 2012 R2 或 Windows Server 2016 计算机。这些计算机可以是虚拟机,也可以是物理机。要在其中安装 Connector 的计算机必须与 UTC 时间同步,以实现正确的安装和操作。有关最新要求的完整列表,请参阅您的 Citrix 帐户团队提供的部署资料。

    入门向导引导您完成在这些计算机上安装 Cloud Connector 的过程。

  • 有关更多平台系统要求,请参阅 Citrix Cloud Connector

Citrix Gateway 要求

Endpoint Management 要求针对以下场景在您的资源位置中安装 Citrix Gateway:

  • 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术打包。Micro VPN 需要 Citrix Gateway 连接到内部后端基础结构。
  • 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail。
  • 您计划将 Endpoint Management 与 Microsoft Intune/EMS 相集成。

要求:

有关信息,请参阅 Citrix 支持文章 如何在 NetScaler 设备上添加 SSL 证书包

有关 NetScaler 要求的信息,请参阅您的 Citrix 帐户团队提供的部署资料。

有关 Android Enterprise 要求的信息,请参阅 Android Enterprise部分。

Citrix Files 要求

Citrix Files 文件同步和共享服务在 Endpoint Management Premium 服务方案中可用。StorageZone Controller 通过向 Citrix Files 帐户提供专用数据存储来扩展 Citrix Files 软件即服务 (SaaS) 云存储。

StorageZone Controller 要求:

  • 专用物理机或虚拟机
  • Windows Server 2012 R2 或 Windows Server 2016
  • 2 个 vCPU
  • 4 GB RAM
  • 50 GB 硬盘空间
  • Web 服务器 (IIS) 的服务器角色:

    • 应用程序开发:ASP. NET 4.5.2
    • 安全性:基本身份验证
    • 安全性:Windows 身份验证

Citrix Files 平台要求:

  • Citrix Files 安装程序要求在 Windows Server 上具有管理权限
  • Citrix Files 管理员用户名

端口要求

要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下图显示了 Endpoint Management 的流量图。

Endpoint Management 流量

以下部分列出了必须打开的端口。

Citrix Gateway 端口要求

打开端口以允许用户通过 Citrix Gateway 从 Citrix Secure Hub 和 Citrix Workspace 连接到:

  • Endpoint Management
  • StoreFront
  • 其他内部网络资源,例如 Intranet Web 站点

有关 Citrix Gateway 的详细信息,请参阅 Citrix Gateway 文档中的Endpoint Management 环境的配置设置。有关 NetScaler 拥有的 IP 地址的信息,请参阅 NetScaler 文档中的 NetScaler 设备如何与客户端和服务器进行通信。该部分内容包括有关 NetScaler IP (NSIP) 虚拟服务器 IP (VIP) 和子网 IP (SNIP) 地址的信息。

TCP 端口 说明 目标
53(TCP 和 UDP) 用于 DNS 连接。 Citrix Gateway SNIP DNS 服务器
80/443 Citrix Gateway 通过第二个防火墙将 Micro VPN 连接传递到内部网络资源。 Citrix Gateway SNIP Intranet Web 站点
123(TCP 和 UDP) 用于网络时间协议 (NTP) 服务。 Citrix Gateway SNIP NTP 服务器
389 用于非安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Microsoft Active Directory
443 用于从 Citrix Workspace 到 Citrix Virtual Apps and Desktops 与 StoreFront 的连接。 Internet Citrix Gateway
443 用于连接到 Endpoint Management 以实现 Web、移动和 SaaS 应用程序交付。 Internet Citrix Gateway
443 用于 Cloud Connector 通信 – LDAP、DNS、PKI 和 Citrix Workspace 枚举 Cloud Connector 服务器 https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 用于通过浏览器访问 Endpoint Management 自助服务门户(如果已启用)。 访问点(浏览器) Endpoint Management (https://<sitename>/zdm/shp)
636 用于安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
1494 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 用于 RADIUS 连接。 Citrix Gateway NSIP RADIUS 身份验证服务器
2598 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 用于 Microsoft Global Catalog 安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
4443 用于管理员通过浏览器访问 Endpoint Management 控制台。 访问点(浏览器) Endpoint Management
8443 用于注册、应用商店和移动应用程序管理 (MAM)。 Citrix Gateway SNIP Endpoint Management
8443 用于 Secure Mail 身份验证令牌的 Secure Ticket Authority (STA) 端口 Citrix Gateway SNIP Endpoint Management

网络和防火墙要求

要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下表列出了这些端口。

打开从内部网络到 Citrix Cloud 的端口:

TCP 端口 源 IP 说明 目标 目标 IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Endpoint Management 自助服务门户通过浏览器访问(如果启用了该门户) Endpoint Management  
4443   通过浏览器访问 Endpoint Management 控制台 Endpoint Management  

打开从 Internet 到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Endpoint Management 客户端设备   Citrix Gateway IP  
443 Endpoint Management 客户端设备   NetScaler VIP Citrix Files  
443 Citrix Files 公用 IP CTX208318 NetScaler VIP Citrix Files  

打开从 DMZ 到内部网络的端口:

TCP 端口 说明 源 IP 目标 目标 IP
389 或 636 NetScaler NSIP   Active Directory IP  
53 (UDP) NetScaler NSIP   DNS 服务器 IP  
443 NetScaler SNIP   Exchange (EAS) Server IP  
443 NetScaler SNIP   内部 Web 应用程序/服务  
443 NetScaler SNIP   StorageZone Controller IP  

打开从内部网络到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 管理客户端   NetScaler NSIP  

打开从内部网络到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Exchange (EAS) Server IP   Endpoint Management 推送通知侦听器 (1)  
443 StorageZone Controller IP   Citrix Files 控制平面 CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

打开从企业 Wi-Fi 到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
8443/443 Endpoint Management 客户端设备   Endpoint Management  
5223 Endpoint Management 客户端设备   Apple APNS 服务器 17.0.0.0/8
5228 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5229 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5230 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
443 Endpoint Management 客户端设备   Firebase Cloud Messaging cm.googleapis.com
443 Endpoint Management 客户端设备   Windows 推送通知服务 *.notify.windows.com
443/80 Endpoint Management 客户端设备   Apple iTunes App Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Endpoint Management 客户端设备   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443/80 Endpoint Management 客户端设备   Microsoft 应用商店 login.live.com, *.notify.windows.com
443 Endpoint Management 客户端设备   Endpoint Management 自动发现服务 ads.xm.cloud.com
443 StorageZone Controller IP   Citrix Files 控制平面 CTX208318
443 Endpoint Management 客户端设备   Google Mobile Management、Google API、Google Play 应用商店 API *.googleapis.com
443 Endpoint Management 客户端设备   CloudDPC v470 之前的连接性检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) connectivitycheck.android.com, www.google.com

Auto Discovery Service 连接的端口要求

此端口配置可确保从 Secure Hub for Android 连接的 Android 设备能够从内部网络访问 Endpoint Management 自动发现服务 (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。

注意:

ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。

如果您希望启用证书固定,请完成以下必备条件:

  • 收集 Endpoint Management 服务器和 NetScaler 证书。证书必须采用 PEM 格式,并且必须是公用证书,而非私钥。
  • 联系 Citrix 技术支持并请求启用证书固定功能。在此过程中,系统会要求您提供证书。

证书固定功能要求设备先连接到 ADS,然后再注册。此要求可确保最新的安全信息对 Secure Hub 可用。为了 Secure Hub 注册设备,该设备必须访问 ADS。因此,在内部网络中打开 ADS 访问功能对启用设备注册非常重要。

要允许访问 Secure Hub for Android 的 ADS,请为以下 FQDN 和 IP 地址打开端口 443:

FQDN IP 地址 端口 IP 和端口用法
ads.xm.cloud.com 52.5.138.94 443 Secure Hub - ADS 通信
ads.xm.cloud.com 52.1.30.122 443 Secure Hub - ADS 通信
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS 通信
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS 通信

Android Enterprise 网络要求

在为 Android Enterprise 设置网络环境时,应识别一些出站连接。

端口要求

如果控制台位于本地,则需要从网络中访问以下目标主机,以创建托管 Google Play Enterprise 以及访问 ​托管 Google Play iFrame。Google 已为开发人员提供了托管 Play iFrame,以简化应用程序的搜索和审批。

TCP 端口 说明 目标主机
443 Google Play 应用商店、Play Enterprise 注册 play.google.com
443 帐户身份验证 accounts.youtube.com, accounts.google.com
443 GCM 和其他 Google Web 服务 apis.google.com
443 iFrame UI 元素 ogs.google.com
443 桌面和移动通知 notifications.google.com
443 Google 字体用户生成的内容 fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
443 证书验证 cri.pki.goog, ocsp.pki.goog